뚠뚠멍의 생각들

Внимательный взгляд на TLS

  • Язык написания: Корейский
  • Страна: Все страныcountry-flag
  • ИТ

Создано: 2024-10-27

Создано: 2024-10-27 21:31

Приблизительно с 2020 года в связи с прекращением поддержки TLS 1.1

возникла необходимость проверки старых серверов.


В случае сохранения TLS 1.1 при обмене данными между облачными сервисами AWS, Azure и т.д. могут возникать ошибки,

а также ошибки при взаимодействии с внешними API, например, при оплате, или проблемы в зависимости от версии браузера.


Tomcat

- Похоже, версии 6.x и ниже не поддерживают TLS 1.2. Необходимо переключиться на TLS 1.2 с помощью JRE версии Java 7 и выше.

Nginx

- Похоже, версия 1.1.13 поддерживает TLS 1.2.


Принцип работы TLS

Client Hello: клиент отправляет запрос на соединение серверу (включая поддерживаемые версии TLS и набор шифров).

Server Hello: сервер отправляет используемую версию TLS, набор шифров и SSL-сертификат для подтверждения надежности.

Обмен ключами и создание сеансового ключа: клиент и сервер создают общий сеансовый ключ с помощью алгоритма обмена ключами.

Завершающее сообщение: клиент и сервер отправляют зашифрованные завершающие сообщения с использованием своих ключей.

Передача данных: данные шифруются и передаются с использованием сеансового ключа.

Завершение: после завершения передачи данных обмениваются сообщениями о завершении сеанса и удаляется информация о сеансовом ключе.


В чем разница между TLS 1.2 и 1.1?

TLS — это протокол безопасности на транспортном уровне, лежащий в основе HTTPS. Обеспечивает аутентификацию, целостность и конфиденциальность.

Говорят, что 1.2 превосходит 1.1 по безопасности и производительности.

- 1.1 использует алгоритмы хеширования md5 и sha-1.

- 1.1 может быть уязвим для атак BEAST, Man-in-the-middle и Cipher Suite.

* BEAST: злоумышленник перехватывает HTTPS-соединение и внедряет вредоносный контент

* Man-in-the-middle: злоумышленник перехватывает связь и похищает данные

- 1.2 использует алгоритм sha-256 (более надежный алгоритм безопасности).

- 1.2 поддерживает набор шифров GCM (Galois/Counter Mode), который одновременно выполняет шифрование и аутентификацию, что повышает скорость.


Cipher Suite (набор шифров)

Все необходимые механизмы шифрования для обмена данными между клиентом и сервером, состоящие из 4 частей.

1. Алгоритм обмена ключами

- Способ безопасного обмена секретным ключом, например, RSA, Diffie-Hellman

2. Алгоритм аутентификации

- Проверка надежности сервера с помощью сертификата, например, открытый ключ RSA

3. Алгоритм симметричного шифрования

- Способ шифрования данных во время сеанса и дешифрования клиентом и сервером с помощью одного и того же сеансового ключа, например, AES

4. Код аутентификации сообщения

- Проверка целостности данных, например, HMAC-SHA256

Набор шифров представляет собой сочетание этих четырех элементов.


Комментарии0

Что такое JWT (JSON Web Token)?JWT — это открытый стандарт, использующий JSON-объекты для безопасной передачи информации. Он состоит из заголовка, полезной нагрузки и подписи, обеспечивая целостность и безопасность данных с помощью подписи. Отсутствует необходимость в поддержании сесс
Seize the day
Seize the day
Seize the day
Seize the day

March 4, 2024

Обнаружена уязвимость безопасности в маршрутизаторах Linksys: риск утечки данных пользователейВ маршрутизаторах Linksys Velop Pro 6E и 7 обнаружена уязвимость безопасности, из-за которой данные для входа в Wi-Fi передаются без шифрования, что повышает риск утечки данных пользователей.
해리슨 블로그
해리슨 블로그
해리슨 블로그
해리슨 블로그

July 13, 2024

Создание AI Full Stack с использованием открытого кодаМы представляем различные инструменты для построения AI Full Stack на основе открытого кода, включая LLM, инструменты вывода и обслуживания, фреймворки и решения для мониторинга. Изучите разработку AI-приложений с использованием LangChain, LlamaIndex и др
RevFactory
RevFactory
RevFactory
RevFactory

February 5, 2024

Кризис сертификатов DigiCert: Необходимы действия в течение 24 часов для решения проблем безопасности SSL/TLSИз-за ошибки при выдаче сертификатов DigiCert некоторые сертификаты должны быть отозваны и перевыпущены в течение 24 часов. Пользователи GCP, использующие пользовательские сертификаты, должны немедленно принять меры.
해리슨 블로그
해리슨 블로그
해리슨 블로그
해리슨 블로그

July 31, 2024

Обнаружена критическая уязвимость в 30-летнем протоколе RADIUSОбнаружена критическая уязвимость BlastRADIUS в 30-летнем протоколе RADIUS, создающая серьезную угрозу безопасности сети. Уязвимость, связанная с использованием MD5, позволяет обойти аутентификацию и повысить привилегии, что может повлиять на различные си
해리슨 블로그
해리슨 블로그
해리슨 블로그
해리슨 블로그

July 13, 2024

Важность квантовой криптографии: ключ к защите цифрового мираСтатья о важности квантовой криптографии и примерах ее использования для обеспечения безопасности данных в эпоху квантовых компьютеров. В статье рассматриваются понятия таких технологий, как квантовое распределение ключей и постквантовая криптография, а
Cherry Bee
Cherry Bee
Cherry Bee
Cherry Bee

March 11, 2025